咁點解 s廠又冇出警告開 port有保安問題?

via HKEPC IR Extreme 4.2.3 - Android(4.2.0) ...
kofz 發表於 2022-1-27 17:31



    不是SYNO 一向叫人用 QC 多, 而不是開 PORT 嗎? 而且, SYNO 比 QNAP 有一好處 (A記不知)是 SYNO SERVICE 可以不同 PORT, 比如 ADMIN 用123, FILE STATION 用 456, 小小比較安全吧. 可以說, SYNO 中過加密後, 真是好有心在保護身上, 雖然不可能完美, 大把 HACKER 在找地方鑽, 但也是好方向.

QNAP 就現在上到 4.X 但問題也多多. 但大多數 NAS 也是 4.X 升上去 5.0, 而不是重新安裝. QNAP 在上 QTS 5.0 時沒有好好把握清查用戶的QTS, 問題也一直出現呢. 我個人就新起了 QTS 5.0, TOUCH WOOD 未有出事, 也不會比它ONLINE. 反正本來就是用了多年的NAS, 我小心用大約問題不大.....就是一個問題, 打算用它在 KEEP 相和META DATA, 相有 BACKUP, 去台台 NAS 也是一樣, 但 QUMAGIE 的META DATA 呢.....看來還是用來DELETE 下相好了, 不要用乜 AI.....會白做.

TOP

reverse proxy server 就是 NAS 自己其中一個 DOCKER/功能, 而不是出面另有一台機, 也不是VM

TOP

reverse proxy server 就是 NAS 自己其中一個 DOCKER/功能, 而不是出面另有一台機, 也不是VM ...
t1174-3 發表於 2022-1-27 18:34



    無錯,呢個可以係機上嘅 service 其中之一,但一樣可以加強安全

原因上面有講,你自己嘅 program listen HTTP 有 bug 唔奇(唔似 open source 咁多人 debug),以前試過幫人搞活動裝個 Joomla 然後因為 hosting web server 冇 patch 好就俾人用 sql injection 種咗假銀行網站搞到俾人報警先知道。如果用 reverse proxy,首先佢唔會自己 gen 個 injection code 俾你嘅 service,即係行唔到對家嘅 malicious code。第二,如果對家整到個 proxy 香咗,因為個 proxy 唔係 root 權限所以佢只能夠係果個有限範圍活動,亦搞唔到其他嘢。所以先話 non-root process 好重要,著名 *nix mail server Sendmail 就係因為一直都以 root 運行(近年好似終於唔係),所以佢一出事就會俾人 gain root 而成為重點攻擊對象,後期新進嘅 EXIM/Postfix/Qmail 呢 d 就分拆到只有極少部分可以用 root 運行(因為 listen < 1024 port 點都要 root),去減低 security risk。

TOP

本帖最後由 t1174-3 於 2022-1-27 19:19 編輯

這個好像還未明白,雖然一定在用它來加 HTTPS,但為何可能加到像 firewall 的功能還是不太明。另外有個 cloudflare 的 reverse proxy. 反也有點想知點用,但看來要錢。而且,都不知還可以 直接 Access 那面多少時間。

現在說,有個方法是 firewall 限死 NAS 只食 cloudflare 來的 traffic, 在外用就用 它來 proxy, 咁就 server 的 IP 都見不到。問題是像這一次,如果對方是用掃 port 去找 QNAP NAS, 聽說用到 2fa 都是會中招。

TOP

這個好像還未明白,雖然一定在用它來加 HTTPS,但為何可能加到像 firewall 的功能還是不太明。另外有個 clo ...
t1174-3 發表於 2022-1-27 19:15



    就算唔係用來加 HTTPS 都會好 d

其實個 concept 唔難明啫,所有 request 佢轉送俾你,實際上唔係左手交右手,而係佢基於對外部 request 嘅理解然後用佢自己嘅方法 send 返俾你。對於 d 佢睇唔明嘅 request(通常都係 d malicious code),佢一係彈 error,一係就會 cut 走咗先送去你 server(因為佢自己唔會 send malicious code)

TOP

就算唔係用來加 HTTPS 都會好 d

其實個 concept 唔難明啫,所有 request 佢轉送俾你,實際上唔係左 ...
fakeman 發表於 2022-1-27 19:29



    但反向代理點會知 send 來的 request 是不明呢?那個反向代理服務的setting 沒什麼像防毒的東西。像 cloudflare 那些就可以加防火牆,但自建這些不太見。

TOP

QNAP 真係怕怕

叫人唔好開port 80 同 443,我有時要share file比人, 唔可以下下教人用VPN連去自己 ...
kk30 發表於 2022-1-26 20:59


要用返www.myqnapcloud.com做中介
咁緊係冇自己NAS直接做server咁快咁爽
但至少myqnapcloud唔洗錢, 冇public IP都用倒

TOP

要用返做中介
咁緊係冇自己NAS直接做server咁快咁爽
但至少myqnapcloud唔洗錢, 冇public IP都用倒 ...
icefire 發表於 2022-1-27 21:05



    兩難是用 myqnapcloud 可能就會話比外網聽這裡有個 Qnap NAS….可能反變成危險。一日Qnap 廠沒理清其實是甚麼事和解決了,用 Qnap 自家的服務接外網,都可能有風險呢。說真,就是 Qnap 說已經修好了漏洞,我個人都不太信任就是。

就是本身要用外網的機會十分少,而且機也用多年,早就是二線 BACKUP 機方還用它呢。

TOP

兩難是用 myqnapcloud 可能就會話比外網聽這裡有個 Qnap NAS….可能反變成危險。一日Qnap 廠沒理清 ...
t1174-3 發表於 2022-1-27 21:17


咁就要睇QNAP嘅myqnapcloud link server會唔會比人hack入
理論上用myqnapcloud可以完全封唒外網連入NAS嘅任何服務, 只有NAS自己連上myqnapcloud link server.

TOP

咁就要睇QNAP嘅myqnapcloud link server會唔會比人hack入
理論上用myqnapcloud可以完全封唒外網連入NAS嘅 ...
icefire 發表於 2022-1-27 21:39



    而家係差過windows做os.......

TOP